huschi.net

Aktuell läuft eine größere Welle zur Verbreitung von Malware durchs Internet.
Dabei werden Websites und sogar ganze Server übernommen. Da diese Angriffe sich sehr Dynamisch durch das Internet arbeiten und kaum einer einen ernsthaften Blick auf irgendeinen Code werfen konnte, wird bereits vermutet, daß es sich um ein dynamisch nachladbares Apache-Modul in Form eines Rootkits handelt.

Der Schädling pflanzt sich auf verschiedenen Wegen fort und nutzt unterschiedliche Lücken in den Systemen. Anscheinend kennt es auch mehrere Angriffsarten und Exploits.
Die meisten davon beziehen sich immer auf bekannte PHP-Scripte.

Das GNU/Linux Debian 4.0 (Etch) wurde auf die Version 4.0r2 aktualisiert.
Der Upgrade für bestehende Systeme ist wie immer mit den kurzen Befehlszeilen auszuführen:

apt-get update
apt-get dist-upgrade

Neue CD-/DVD-Images stehen ebenfalls bereit.

Wesentliche Neuerungen sind Bugfixes im Linux-Kernel und der anhängenden libc.
Daher wurde auch ein großer Teil der Pakete neu erstellt um mit der libc kompatibel zu bleiben.

Fast zur selben Zeit wurde auch Debian 3.1 (Sarge) aktualisiert. Dies ist recht ungewöhnlich, da normalerweise nur noch die "stable"-Version gepflegt wird. Aber dennoch positiv, da Sarge immer noch sehr häufig im Einsatz ist.

Bisher war es verboten den Mailserver "Qmail" in veränderten Version weiter zu vertreiben. Obwohl es kein OpenSource ist, war der Quelltext von Qmail jedem zugänglich. Ansich haben sich hierbei viele Hersteller von ISP-Software (SWsoft mit Plesk und (???) mit ServerAdmin24) und professionelle Administratoren strafbar gemacht. Denn hierbei wurden viele Binär-Pakete von Qmail verteilt, die mehrere Patches und Eigenentwicklungen beinhalten.

Nun ist dies alles Legal und auch ich bereite nun Binär-Pakete für Greylisting vor, damit die Installation einfacher und schneller von statten gehen kann.

SWsoft meldet eine schwere Sicherheitslücke in ihrer Software "Plesk".
Betroffen sind fast alle Windows-Versionen und die Linux/Unix-Versionen mit der exakten Versionsnummer: 8.0.0, 8.0.1, 8.1.0 oder 8.2.0.

SWsoft hat bereits Bugfixes bereitgestellt:
- Windows: [FIX] SQL Injection vulnerability
- Linux / Unix: [FIX] SQL Injection vulnerability

Eine Lücke im postfix-policyd erlaubt ein DOS-Angriff bzw. sogar eine Übernahme des ganzen Server's. Alle Versionen unter 1.81 sind davon betroffen. Allerdings hat nicht jeder den postfix-policyd im Einsatz. Weiterhin ist auch nicht jede Konfiguration davon betroffen.
Dennoch sind viele Server auf dem SMTP-Port unter Angriff. Teilweise noch nicht einmal nur Postfix-Server. Auch wenn ein Server nicht verletzbar ist, so hat man dank diesen Angriffen eine hohe Performance-Einbusse.

Mögliche Lösung:
- Installation von AppArmor um Postfix in seinen Grenzen zu halten.
- Postfix eigenes Programm anvil.
- Grundsätzliche reduzierung aller Timeouts.

Kennen Sie einen SysAdmin der über seine Pflichten hinaus geht?
Wenn ja, nominieren Sie ihn doch als "SysAdmin des Jahres 2007".
Er kann tolle Preise gewinnen (Macbook Pro, iPhone, Splunk Lizenz).
Die ersten 2.500 nominierten SysAdmins erhalten ein kostenloses T-Shirt.